Gateway の復元

ゲートウェイを復元すると、Gateway 環境全体が復元されます。これは、新しいクラスタ ノードを初期化する場合、または重大なエラーの後に既存のクラスタ ノードでデータを回復する場合に役立ちます。
gateway10
Layer7 API Gateway
を復元すると、Gateway 環境全体が復元されます。これは、新しいクラスタ ノードを初期化する場合、または重大なエラーの後に既存のクラスタ ノードでデータを回復する場合に役立ちます。
復元の前に、
/tmp/
ディレクトリにコンテンツを解凍するための十分なディスク領域があることを確認してください。たとえば、2 GB の空き容量があるが、解凍したコンテンツに 6 GB が必要な場合、「不十分なディスク領域」エラーが表示され、復元プロセスがロールバックされます。
(1) Gateway の復元後に発生する可能性がある既知の問題があります。Gateway の問題が発生したら、「Gateway のリセット」の「問題: 復元後に Gateway が正しく実行されない」を参照してください。
目次
イメージ全体を復元するのか、バックアップ イメージ内のコンポーネントを選択するのかを選択できます。復元は、同じ Gateway ノードまたは別のノードに対して行えます。バックアップ イメージ ファイル内の各項目を個別に復元できます。バックアップ イメージ ファイルは、ローカルまたは FTP サーバ上に存在する可能性があります。
復元する Gateway は、バックアップが作成された Gateway と同じバージョンである必要があります。
アプライアンス Gateway を復元する場合は、以下の点に注意してください(これはソフトウェア Gateway には該当しません)。
  • 復元する必要があるのにバックアップ イメージがない場合は、Gateway を「工場出荷時」の状態に戻すことができます(再イメージ化)。詳細については、「
    API Gateway 管理者マニュアル
    」の「付録 K - Gateway システム リカバリ」を参照してください。
  • 復元された Gateway に設定変更を加える必要がある場合は、必ず再設定の
    に Gateway を再起動します。そうしない場合、復元されたイメージ内の設定は、Gateway のメイン メニューを使用して行われたすべての設定変更を上書きします。
  • Gateway に nCipher nShield HSM が含まれている場合は、データベース パスワードおよびクラスタ パスフレーズを知っている必要があります。リストア後にそれらを入力する必要があります。
前提条件
  • 復元する Gateway ノードに MySQL がインストールおよび設定され、実行されている必要があります。
  • 対象の Gateway RPM ファイルがインストールされている必要があります。ただし、設定されている必要はありません。これは、設定を復元するために必要なすべてのファイルがバックアップ イメージに含まれていることを前提としています。
完全復元とカスタム復元
完全復元はバックアップ イメージにあるすべての適用可能なコンポーネントを復元します。
完全復元を実行するには、以下の組み合わせのいずれかを使用します。
  • デフォルトの復元:
    # /opt/SecureSpan/Gateway/config/backup/ssgrestore.sh -image -dbu -dbp
  • FTP からのデフォルトの復元:
    # /opt/SecureSpan/Gateway/config/backup/ssgrestore.sh -image -ftp_host -ftp_user -ftp_pass -ftp_dir -dbp -dbu
完全復元中に特定のコンポーネントの情報が見つからない場合は、INFO ログ イベントとしてログに記録され、復元に影響しません。たとえば、モジュール型アサーションがイメージに存在しない場合、完全復元では、モジュール型アサーションはイメージに存在しないので復元されないという事がログに記録されます。これは、イメージにあるコンポーネントが適用可能でない場合(たとえば、OS データが見つかったが、ターゲットはソフトウェア Gateway の場合)にも適用されます。
カスタム復元には、特定のコンポーネントのみが含まれます。
以下のスイッチのいずれかを使用すると、カスタム復元が実行されます。
-os:
OS 設定ファイルを復元します(
アプライアンス Gateway のみ
-config:
Gateway 設定ファイルを復元します
-maindb:
監査データを除く、Gateway データベースを復元します
-audits:
データベース監査を復元します
-ext:
Gateway/runtime/lib/ext
ディレクトリの内容を復元します
-ca:
カスタム アサーションを復元します
-ma:
モジュール型アサーションを復元します
これらのスイッチを組み合わせて、バックアップ イメージからカスタム復元を作成できます。
  • 監査レコードを含む、データベースのみのカスタム復元
    ssgrestore.sh -image name.zip -maindb - audits -dbu -dbp
  • カスタム アサーションとモジュール型アサーションのみのカスタム復元
    ssgrestore.sh -image name.zip -ca -ma
カスタム復元で要求されたコンポーネントの情報が見つからない場合は、WARNING 監査としてログに記録され、画面に表示されます。「-halt」スイッチが使用されている場合、復元は停止します。
データベースを復元するとき、イメージは復元先の Gateway のデータベースを完全に上書きします。データはマージ
されません
。監査は、「
-maindb
」スイッチで常に削除されます。特に、ライセンス ファイルはバックアップ イメージに含まれないため、データベース コンポーネントの復元後にターゲット ノード上のライセンスを再インストールする必要があります。
ログ ファイルの場所
復元ログ ファイルは以下の場所に格納されます。
/opt/SecureSpan/Gateway/config/backup/logs
復元手順
バックアップ イメージを復元する方法
  1. ターゲット Gateway ノードを停止します。
  2. Gateway にログインします。
    • アプライアンス Gateway:
      ssgconfig
      としてログインし、Gateway 設定メニューから特権コマンド シェルを開きます。
    • ソフトウェア Gateway: 
      root
      ユーザまたは
      layer7
      ユーザとしてログインします。
  3. 以下のコマンドを実行します。
    # /opt/SecureSpan/Gateway/config/backup/ssgrestore.sh [options]
    使用可能なオプションについては、以下の表を参照してください。
    各オプションはスペースで区切ります。
  4. Gateway の旧バージョンの復元:
    Gateway の旧バージョンで作成されたイメージを復元する場合、復元が完了した後にデータベースをアップグレードする必要があります。そのためには、以下の手順に従います。
    1. Gateway のメイン メニューを起動します。
    2. アプライアンス Gateway の場合は、オプション
      2
      (Display Gateway configuration menu)を選択します。これにより、アプリケーションを設定するオプションが表示されます。
      ソフトウェア Gateway の場合は、次の手順に進みます。
    3. オプション
      1
      (Upgrade the Gateway database)を選択します。画面上のプロンプトに従ってデータベースをアップグレードします。
  5. Gateway ノードを再起動します。
オプション
説明
-image
<image_file_path>
復元するイメージ ファイルのフル パス。このパスは、作業ディレクトリからの相対パスで指定できます。
FTP サーバから復元する場合、これはダウンロードするファイルのパスおよび名前です。
注: このイメージは、
layer7
ユーザがアクセス可能なディレクトリ(たとえば、バックアップ コマンドによって使用されるデフォルトの場所など)に存在する必要があります。
/opt/SecureSpan/Gateway/config/backup/images/
たとえば、
root
ユーザのみがアクセス可能なディレクトリにこのイメージがある場合、復元は失敗します。
-dbu
<admin_db_username>
データベース管理者ユーザの名前。デフォルトのユーザ名は「
root
」です。
-dbp
<admin_db_password>
データベース管理者ユーザのパスワード。デフォルトのパスワードは「
7layer
」です
(1)データベース管理者のパスワードが空白の場合、「-dbp」オプションは必要ありません。(2)パスワードに特殊文字(セミコロンなど)が含まれる場合は、パスワードを引用符で囲みます(例:
'pass;word'
)。
-halt
最初のエラーが発生したときに復元を失敗させます。これにより、部分的に復元されたシステムになります。バックアップ イメージにないコンポーネントを要求したことによってエラーが発生した場合は、正しいオプションで復元を再度実行します。
復元ユーティリティは、常に各コンポーネントを個別に試行します。「-halt」が指定されていない場合、1 つのコンポーネントが失敗しても、その他のコンポーネントの試行には影響しません。
失敗したコンポーネントは、画面に表示されます。
-v
詳細な復元の進捗状況情報が画面に表示されます。
-ftp_host
<FTP_host_machine>:[port]
バックアップ イメージが FTP ホスト上にある場合は、ホスト名と必要に応じてポート番号を指定します。
-ftp_user
<user_name>
FTP ホストにログオンするユーザ名。
-ftp_pass
<password>
FTP ホスト上のユーザ名のパスワード。
パスワードに特殊文字(セミコロンなど)が含まれる場合は、パスワードを引用符で囲みます(例:
'pass;word'
)。
以下のオプションは、アプライアンス Gateway にのみに適用されます。
-gdbu
<gateway_name>
Gateway ノードのデータベース ユーザ。
nCipher nShield HSM が存在する場合、復元を実行するときに、「-gdbu」オプションを使用する必要があります。
-gdbp
<gateway_password>
Gateway ノードのデータベース ユーザのパスワード。
パスワードに特殊文字(セミコロンなど)が含まれる場合は、パスワードを引用符で囲みます(例:
'pass;word'
)。
nCipher nShield HSM が存在する場合、復元を実行するときに、「-gdbp」オプションを使用する必要があります。
-os
復元時に OS レベルのファイルを上書きします。OS レベルのファイルの復元を完了するには、Gateway アプライアンスを再起動する必要があります。
アプライアンス Gateway にのみ該当します。
「-os」オプションは、同じ Gateway タイプにのみ使用する必要があります(たとえば、VMware Gateway をバックアップした後に、ハードウェア アプライアンスに復元しようとしないでください)。
以下のオプションがカスタム復元を実行するために使用されます。
-audits
カスタム復元に監査レコードを含めます。「-audits」は「
-maindb
」オプションと一緒に使用する必要があります。
-ca
カスタム復元にカスタム アサーションおよびそれらの関連するプロパティ ファイルを含めます。
-config
カスタム復元に Gateway 設定ファイルを含めます。
-ext
バックアップ イメージに
Gateway/runtime/lib/ext
ディレクトリのすべてのファイルを含めます。
-ma
カスタム復元にモジュール型アサーションを含めます。
-maindb
監査を除いて、カスタム復元にデータベース設定を含めます。
以下のオプションは、標準またはカスタムの復元に使用できます。
-esm
復元に Enterprise Service Manager (ESM)を含めます。
復元が完了すると、復元の成功または失敗のいずれかがコンソールに表示されます。
高度なヒント: 「node.properties」および「omp.dat」の復元
以下の表では、ssgrestore.sh の実行後に
node.properties
および
omp.dat
設定ファイルがどのように処理されるのかを説明しています。
注:
node.properties
が復元ホスト上で生成されるとき、ノードのデータベース ユーザ名およびクラスタのパスフレーズは常に暗号化されます。
シナリオ
結果
シナリオ 1:
バックアップ イメージに
node.properties
または
omp.dat
が含まれていない。
または
イメージにファイルが含まれているが、カスタム復元が「-config」コンポーネントなしで実行される。
復元ホストの
node.properties
および
omp.dat
が使用されます。
シナリオ 2:
バックアップ イメージに
node.properties
が含まれている。
イメージの
node.properties
が復元ホストにコピーされます。
omp.dat の処理は、
omp.dat
がイメージに存在するかどうかによって異なります。
omp.dat
がイメージにある場合、omp.dat はイメージの
node.properties
の値を復号化し、復元ホストに書き込むときに値を暗号化するために使用されます。
omp.dat
がイメージにない場合、Gateway は復元ホストの
omp.dat
を使用して復号化/暗号化を試行します。これは、omp の値がイメージとホストの間で同じである場合にのみ成功します。